Cette page décrit plusieurs exemples courants d'utilisation des restrictions sur les organisations.
Limiter l'accès uniquement à votre organisation
Dans cet exemple, l'administrateur Google Cloud et l'administrateur proxy de sortie de l'organisation A s'engagent ensemble pour empêcher les employés d'accéder uniquement aux ressources de leur organisation Google Cloud.
Pour restreindre l'accès uniquement à votre organisation, procédez comme suit:
En tant qu'administrateur Google Cloud, utilisez la commande
gcloud organizations listsuivante pour obtenir l'ID de l'organisation Google Cloud de l'organisation A:gcloud organizations listVoici l'exemple de sortie:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, une fois que vous avez obtenu l'ID d'organisation de l'administrateur Google Cloud, composez la représentation JSON pour la valeur d'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "strict" }En tant qu'administrateur de proxy de sortie, vous devez encoder la valeur de l'en-tête de requête en respectant les spécifications de la section 5 de la norme RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, exécutez la commande basenc suivante pour encoder le fichier:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoEn tant qu'administrateur proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Limitez l'accès à votre organisation et autorisez les requêtes de lecture aux ressources Cloud Storage
Dans cet exemple, l'administrateur Google Cloud et l'administrateur proxy de sortie de l'organisation A s'engagent ensemble pour empêcher les employés d'accéder uniquement aux ressources de leur organisation Google Cloud, à l'exception des requêtes de lecture sur les ressources Cloud Storage.
Les administrateurs peuvent omettre les requêtes de lecture sur les ressources Cloud Storage de l'application des restrictions sur les organisations afin de s'assurer que leurs employés peuvent accéder à des sites Web externes qui hébergent du contenu statique à l'aide de Cloud Storage. L'option cloudStorageReadAllowed permet à l'administrateur d'autoriser les requêtes de lecture sur les ressources Cloud Storage.
Pour limiter l'accès à votre organisation et autoriser les requêtes de lecture aux ressources Cloud Storage, procédez comme suit:
En tant qu'administrateur Google Cloud, utilisez la commande
gcloud organizations listsuivante pour obtenir l'ID de l'organisation Google Cloud de l'organisation A:gcloud organizations listVoici l'exemple de sortie:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, une fois que vous avez obtenu l'ID d'organisation de l'administrateur Google Cloud, composez la représentation JSON pour la valeur d'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }En tant qu'administrateur de proxy de sortie, vous devez encoder la valeur de l'en-tête de requête en respectant les spécifications de la section 5 de la norme RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, exécutez la commande basenc suivante pour encoder le fichier:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lEn tant qu'administrateur proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lLes employés de l'organisation A ont désormais accès à leur organisation Google Cloud et ont un accès en lecture aux ressources Cloud Storage.
Autoriser les employés à accéder à l'organisation Google Cloud d'un fournisseur
Dans cet exemple, l'administrateur Google Cloud et l'administrateur proxy de sortie de l'organisation B s'engagent ensemble pour permettre aux employés d'accéder à l'organisation Google Cloud d'un fournisseur en plus de leur organisation Google Cloud existante.
Pour limiter l'accès des employés à votre organisation et à l'organisation du fournisseur, procédez comme suit:
En tant qu'administrateur Google Cloud, contactez le fournisseur pour obtenir l'ID de l'organisation Google Cloud.
En tant qu'administrateur proxy de sortie, pour inclure l'ID de l'organisation du fournisseur en plus de l'ID d'organisation existant, vous devez mettre à jour la représentation JSON pour la valeur d'en-tête. Une fois que vous avez obtenu l'ID d'organisation du fournisseur auprès de l'administrateur Google Cloud, mettez à jour la valeur de l'en-tête au format suivant:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }En tant qu'administrateur de proxy de sortie, vous devez encoder la valeur de l'en-tête de requête en respectant les spécifications de la section 5 de la norme RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, exécutez la commande basenc suivante pour encoder le fichier:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KEn tant qu'administrateur proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KLes employés de l'organisation B ont désormais accès au fournisseur et à leurs organisations Google Cloud.
Limiter l'accès uniquement pour les importations
Dans cet exemple, l'administrateur Google Cloud et l'administrateur proxy de sortie de l'organisation C s'engagent ensemble pour limiter l'accès en importation des employés uniquement aux ressources de l'organisation Google Cloud.
Pour limiter l'accès en importation à votre organisation uniquement, procédez comme suit:
En tant qu'administrateur Google Cloud, pour obtenir l'ID de l'organisation Google Cloud de l'organisation C, utilisez la commande
gcloud organizations listsuivante:gcloud organizations listVoici l'exemple de sortie:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, une fois que vous avez obtenu l'ID d'organisation de l'administrateur Google Cloud, composez la représentation JSON pour la valeur d'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "strict" }En tant qu'administrateur de proxy de sortie, vous devez encoder la valeur de l'en-tête de requête en respectant les spécifications de la section 5 de la norme RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, exécutez la commande basenc suivante pour encoder le fichier:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoEn tant qu'administrateur proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant ne soit inséré que pour les requêtes utilisant des méthodes PUT, POST et PATCH provenant des appareils gérés de l'organisation C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Étapes suivantes
- Découvrez les services compatibles avec les restrictions d'organisation.